Documentación de productos
SDK de MAM
Ver PDF

Políticas MDX para aplicaciones de terceros para Android

May 18, 2026
Contribución de: 
C C

Este artículo describe las políticas MDX para aplicaciones de terceros de Android. Puedes cambiar la configuración de las políticas en la consola de Citrix Endpoint Management™.

Autenticación

Contraseña de la aplicación

Si está Activado, se requiere un PIN o una contraseña para desbloquear la aplicación cuando se inicia o se reanuda después de un período de inactividad. El valor predeterminado es Activado.

Para configurar el temporizador de inactividad para todas las aplicaciones, establece el valor INACTIVITY_TIMER en minutos en las Propiedades del cliente en la ficha Configuración. El valor predeterminado del temporizador de inactividad es de 60 minutos. Para desactivar el temporizador de inactividad, de modo que la solicitud de PIN o contraseña aparezca solo cuando se inicie la aplicación, establece el valor en cero.

Nota:

Si seleccionas Sin conexión segura para la política Claves de cifrado, esta política se habilita automáticamente.

Período máximo sin conexión (horas)

Define el período máximo durante el cual una aplicación puede ejecutarse sin conexión sin un inicio de sesión de red para reconfirmar los derechos y actualizar las políticas. El valor predeterminado es 168 horas (7 días). El período mínimo es de 1 hora.

Se le recuerda al usuario que inicie sesión 30, 15 y 5 minutos antes de que expire el período. Después de la expiración, la aplicación permanece bloqueada hasta que el usuario completa un inicio de sesión de red correcto.

Citrix Gateway alternativo

Nota:

El nombre de esta política en la consola de Endpoint Management es NetScaler® Gateway alternativo.

Dirección de un Citrix Gateway alternativo específico (anteriormente, NetScaler Gateway) que se utiliza para la autenticación y para las sesiones de micro VPN con esta aplicación. Esta es una política opcional que, cuando se usa con la política Sesión en línea obligatoria, fuerza a las aplicaciones a volver a autenticarse en el gateway específico. Estos gateways suelen tener requisitos de autenticación diferentes (de mayor seguridad) y políticas de administración de tráfico. Si se deja vacío, siempre se utiliza el valor predeterminado del servidor. El valor predeterminado está vacío.

Seguridad del dispositivo

Bloquear dispositivos con jailbreak o rooteados

Si está Activado, la aplicación se bloquea cuando el dispositivo tiene jailbreak o está rooteado. Si está Desactivado, la aplicación puede ejecutarse incluso si el dispositivo tiene jailbreak o está rooteado. El valor predeterminado es Activado.

Requerir bloqueo del dispositivo

  • Si es PIN o contraseña del dispositivo, la aplicación se bloquea si el dispositivo no tiene un PIN o una contraseña. Si es Bloqueo de pantalla por patrón del dispositivo, la aplicación se bloquea si el dispositivo no tiene un bloqueo de pantalla por patrón configurado. Si está Desactivado, la aplicación puede ejecutarse incluso si el dispositivo no tiene un PIN, una contraseña o un bloqueo de pantalla por patrón configurado. El valor predeterminado es Desactivado.

  • PIN o contraseña del dispositivo requiere una versión mínima de Android 4.1 (Jelly Bean). Establecer la política en PIN o contraseña del dispositivo impide que una aplicación se ejecute en versiones anteriores.

  • En dispositivos Android M, las opciones PIN o contraseña del dispositivo y Bloqueo de pantalla por patrón del dispositivo tienen el mismo efecto: con cualquiera de esas opciones, la aplicación se bloquea si el dispositivo no tiene un PIN, una contraseña o un bloqueo de pantalla por patrón configurado.

  • Requisitos de red

Requerir Wi-Fi

Si está Activado, la aplicación se bloquea cuando el dispositivo no está conectado a una red Wi-Fi. Si está Desactivado, la aplicación puede ejecutarse si el dispositivo tiene una conexión activa, como una conexión 4G/3G, LAN o Wi-Fi. El valor predeterminado es Desactivado.

Redes Wi-Fi permitidas

Lista de redes Wi-Fi permitidas, separadas por comas. Si el nombre de la red contiene caracteres no alfanuméricos (incluidas las comas), el nombre debe ir entre comillas dobles. La aplicación se ejecuta solo si está conectada a una de las redes enumeradas. Si se deja en blanco, se permiten todas las redes. Esto no afecta a las conexiones a redes móviles. El valor predeterminado está en blanco.

Acceso misceláneo

  • Período de gracia para la actualización de la aplicación (horas)

Define el período de gracia durante el cual se puede usar una aplicación después de que el sistema detecte que hay una actualización de la aplicación disponible. El valor predeterminado es 168 horas (7 días).

Nota:

No se recomienda usar un valor de cero, ya que impide inmediatamente que una aplicación en ejecución se use hasta que se descargue e instale la actualización (sin ninguna advertencia al usuario). Esto podría llevar a una situación en la que el usuario que ejecuta la aplicación se vea obligado a salir de ella (con la posible pérdida de trabajo) para cumplir con la actualización requerida.

Borrar datos de la aplicación al bloquearla

Borra los datos y restablece la aplicación cuando esta se bloquea. Si está Desactivado, los datos de la aplicación no se borran cuando esta se bloquea. El valor predeterminado es Desactivado.

Una aplicación puede bloquearse por cualquiera de los siguientes motivos:

  • Pérdida de derechos de la aplicación para el usuario
  • Suscripción a la aplicación eliminada
  • Cuenta eliminada
  • Secure Hub desinstalado
  • Demasiados errores de autenticación de la aplicación
  • Dispositivo con jailbreak detectado (según la configuración de la política)
  • Dispositivo puesto en estado bloqueado por otra acción administrativa

Período de sondeo activo (minutos)

Cuando se inicia una aplicación, el marco MDX sondea Citrix Endpoint Management para determinar el estado actual de la aplicación y del dispositivo. Suponiendo que se pueda acceder al servidor que ejecuta Endpoint Management, el marco devuelve información sobre el estado de bloqueo/borrado del dispositivo y el estado de habilitación/deshabilitación de la aplicación. Independientemente de si se puede acceder al servidor o no, se programa un sondeo posterior basado en el intervalo del período de sondeo activo. Después de que expire el período, se intenta un nuevo sondeo. El valor predeterminado es 60 minutos (1 hora).

Importante:

Solo establece este valor más bajo para aplicaciones de alto riesgo, o el rendimiento podría verse afectado.

Comportamiento del dispositivo no conforme

Te permite elegir una acción cuando un dispositivo no cumple con los requisitos mínimos de conformidad. Selecciona Permitir aplicación para que la aplicación se ejecute normalmente. Selecciona Permitir aplicación después de la advertencia para que la aplicación se ejecute después de que aparezca la advertencia. Selecciona Bloquear para impedir que la aplicación se ejecute. El valor predeterminado es Permitir aplicación después de la advertencia.

Migración de archivos públicos

Esta política se aplica solo cuando habilitas la política Cifrado de archivos públicos (cambiada de Desactivado a SecurityGroup o Aplicación). Esta política es aplicable solo a los archivos públicos existentes no cifrados y especifica cuándo se cifran estos archivos. El valor predeterminado es Escritura (solo lectura/lectura-escritura).

Opciones:

  • Desactivado. No cifra los archivos existentes.
  • Escritura (solo lectura/lectura-escritura). Cifra los archivos existentes solo cuando se abren para acceso de solo escritura o lectura-escritura.
    • Cualquiera. Cifra los archivos existentes cuando se abren en cualquier modo.

Nota: - >

  • Los archivos nuevos o los archivos existentes no cifrados que se sobrescriben cifran los archivos de reemplazo en todos los casos.
  • El cifrado de un archivo público existente hace que el archivo no esté disponible para otras aplicaciones que no tienen la misma clave de cifrado.

Grupo de seguridad

Deja este campo en blanco si quieres que todas las aplicaciones móviles gestionadas por Citrix Endpoint Management intercambien información entre sí. Define un nombre de grupo de seguridad para gestionar la configuración de seguridad de conjuntos específicos de aplicaciones (por ejemplo, Finanzas o Recursos Humanos).

Precaución:

Si modificas esta política para una aplicación existente, los usuarios deben eliminar y volver a instalar la aplicación para aplicar el cambio de política.

Dominios web seguros permitidos

Esta política solo está en vigor para los dominios no excluidos por la política de filtrado de URL. Agrega una lista separada por comas de nombres de dominio completos (FQDN) o sufijos DNS que se redirigen a la aplicación Secure Web cuando el Intercambio de documentos está Restringido.

Si esta política contiene alguna entrada, solo las URL con campos de host que coincidan con al menos un elemento de la lista (mediante la coincidencia de sufijo DNS) se redirigirán a la aplicación Secure Web cuando el Intercambio de documentos esté Restringido.

Todas las demás URL se envían al navegador web predeterminado de Android (omitiendo la política de Intercambio de documentos restringido). El valor predeterminado está vacío.

Interacción de la aplicación

Cortar y copiar

Bloquea, permite o restringe las operaciones de cortar y copiar del portapapeles para esta aplicación. Si está Restringido, los datos copiados del portapapeles se colocan en un portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Restringido.

Pegar

  • Bloquea, permite o restringe las operaciones de pegar del portapapeles para la aplicación. Si está Restringido, los datos pegados del portapapeles provienen de un portapapeles privado que solo está disponible para las aplicaciones MDX. El valor predeterminado es Sin restricciones.

  • Intercambio de documentos (Abrir en)

  • Bloquea, permite o restringe las operaciones de intercambio de documentos para la aplicación. Si está Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX y las excepciones de aplicación especificadas en la política de lista de excepciones de Abrir en restringido. Si está Sin restricciones, configura las políticas de Cifrado de archivos privados y Cifrado de archivos públicos en Deshabilitado para que los usuarios puedan abrir documentos en aplicaciones no encapsuladas. El valor predeterminado es Restringido.

Lista de excepciones de Abrir en restringido

Cuando la política de Intercambio de documentos (Abrir en) está Restringida, esta lista de intenciones de Android puede pasar a aplicaciones no gestionadas. Es necesario estar familiarizado con las intenciones de Android para agregar filtros a la lista. Un filtro puede especificar una acción, un paquete, un esquema o cualquier combinación.

Ejemplos 

{action=android.intent.action.MAIN}
{package=com.sharefile.mobile}
{action=android.intent.action.DIAL scheme=tel}
<!--NeedCopy-->

Precaución

Asegúrate de considerar las implicaciones de seguridad de esta política. La lista de excepciones permite que el contenido viaje entre aplicaciones no gestionadas y el entorno MDX.

Intercambio de documentos entrantes (Abrir en)

  • Bloquea, restringe o permite las operaciones de intercambio de documentos entrantes para esta aplicación. Si está Restringido, los documentos solo se pueden intercambiar con otras aplicaciones MDX. El valor predeterminado es Sin restricciones.

  • Si está Bloqueado o Restringido, puedes usar la política de lista blanca de intercambio de documentos entrantes para especificar las aplicaciones que pueden enviar documentos a esta aplicación. Para obtener información sobre otras interacciones de políticas, consulta la política Bloquear Galería.

  • Opciones: Sin restricciones, Bloqueado o Restringido

  • Restricciones de la aplicación

Importante:

Asegúrate de considerar las implicaciones de seguridad de las políticas que impiden que las aplicaciones accedan o usen las funciones del teléfono. Cuando esas políticas están Desactivadas, el contenido puede viajar entre aplicaciones no gestionadas y el entorno seguro.

Bloquear cámara

Si está Activado, impide que una aplicación use directamente el hardware de la cámara. El valor predeterminado es Activado.

Bloquear Galería

Si está Activado, impide que una aplicación acceda a la Galería del dispositivo. El valor predeterminado es Desactivado. Esta política funciona en conjunto con la política Intercambio de documentos entrantes (Abrir en).

  • Si el Intercambio de documentos entrantes (Abrir en) está configurado como Restringido, los usuarios que trabajan en la aplicación gestionada no pueden adjuntar imágenes de la Galería, independientemente de la configuración de Bloquear Galería.
  • Si el Intercambio de documentos entrantes (Abrir en) está configurado como Sin restricciones, los usuarios que trabajan en la aplicación gestionada experimentan lo siguiente:
    • Los usuarios pueden adjuntar imágenes si Bloquear Galería está configurado como Desactivado.
    • Los usuarios tienen bloqueado el adjuntar imágenes si Bloquear Galería está Activado.

Bloquear grabación de micrófono

Si está Activado, impide que una aplicación use directamente el hardware del micrófono. El valor predeterminado es Activado.

Bloquear servicios de ubicación

Si está Activado, impide que una aplicación use los componentes de los servicios de ubicación (GPS o red). El valor predeterminado es Desactivado para Secure Mail.

Bloquear redacción de SMS

Si está Activado, impide que una aplicación use la función de redacción de SMS utilizada para enviar mensajes SMS/de texto desde la aplicación. El valor predeterminado es Activado.

Bloquear captura de pantalla

Si está Activado, impide que los usuarios realicen capturas de pantalla mientras la aplicación está en ejecución. Además, cuando el usuario cambia de aplicación, oculta la pantalla de la aplicación. El valor predeterminado es Activado.

Al usar la función de Comunicación de Campo Cercano (NFC) de Android, algunas aplicaciones toman una captura de pantalla de sí mismas antes de transmitir el contenido. Para habilitar esa función en una aplicación encapsulada, cambia la política de Bloquear captura de pantalla a Desactivado.

Bloquear sensor del dispositivo

Si está Activado, impide que una aplicación use los sensores del dispositivo (como el acelerómetro, el sensor de movimiento y el giroscopio). El valor predeterminado es Activado.

Bloquear NFC

Si está Activado, impide que una aplicación use las Comunicaciones de Campo Cercano (NFC). El valor predeterminado es Activado.

Bloquear registros de aplicaciones

Si está Activado, prohíbe que una aplicación use la función de registro de diagnóstico de la aplicación de productividad móvil. Si está Desactivado, los registros de la aplicación se graban y se pueden recopilar usando la función de asistencia por correo electrónico de Secure Hub. El valor predeterminado es Desactivado.

Bloquear impresión

Si está Activado, impide que una aplicación imprima datos. Si una aplicación tiene un comando Compartir, debes establecer Intercambio de documentos (Abrir en) en Restringido o Bloqueado para bloquear la impresión por completo. El valor predeterminado es Activado.

Acceso a la red de la aplicación

Acceso a la red

Nota:

Tunelizado - SSO web es el nombre de Navegación segura en la configuración. El comportamiento es el mismo.

Las opciones de configuración son las siguientes:

  • Usar configuración anterior: Se establece de forma predeterminada en los valores que habías configurado en las políticas anteriores. Si cambias esta opción, no deberías volver a ella. Ten en cuenta también que los cambios en las nuevas políticas no surten efecto hasta que el usuario actualiza la aplicación a la versión 18.12.0 o posterior.
  • Bloqueado: Las API de red utilizadas por tu aplicación fallarán. Según la directriz anterior, debes manejar dicho fallo de forma elegante.
  • Sin restricciones: Todas las llamadas de red van directamente y no están tunelizadas.
  • Tunelizado - VPN completa: Todo el tráfico de la aplicación administrada se tuneliza a través de Citrix Gateway.
  • Tunelizado - SSO web: La URL HTTP/HTTPS se reescribe. Esta opción solo permite el tunelizado del tráfico HTTP y HTTPS. Una ventaja significativa de Tunelizado - SSO web es el inicio de sesión único (SSO) para el tráfico HTTP y HTTPS, y también la autenticación PKINIT. En Android, esta opción tiene una baja sobrecarga de configuración y, por lo tanto, es la opción preferida para operaciones de tipo navegación web.
  • Tunelizado - VPN completa y SSO web: Permite cambiar automáticamente entre los modos VPN según sea necesario. Si una solicitud de red falla debido a una solicitud de autenticación que no se puede manejar en un modo VPN específico, se reintenta en un modo alternativo.

Si se selecciona uno de los modos tunelizados, se crea un túnel VPN por aplicación en este modo inicial de vuelta a la red empresarial, y se utilizan las configuraciones de túnel dividido de Citrix Gateway. Citrix recomienda Tunelizado - VPN completa para conexiones que emplean certificados de cliente o SSL de extremo a extremo a un recurso en la red empresarial. Citrix recomienda Tunelizado - SSO web para conexiones que requieren inicio de sesión único (SSO).

Sesión de micro VPN requerida

Si está Activado, el usuario debe tener una conexión a la red empresarial y una sesión activa. Si está Desactivado, no se requiere una sesión activa. El valor predeterminado es Usar configuración anterior. Para las aplicaciones recién cargadas, el valor predeterminado es Desactivado. Cualquier configuración que se haya seleccionado antes de la actualización a esta política permanece en vigor hasta que se selecciona una opción diferente a Usar configuración anterior.

Período de gracia de sesión de micro VPN requerida (minutos)

Define el período de gracia durante el cual una aplicación puede seguir utilizándose después de que el sistema haya descubierto que hay una actualización de la aplicación disponible. El valor predeterminado es 168 horas (7 días).

Nota:

No se recomienda usar un valor de cero, ya que impide inmediatamente que una aplicación en ejecución se use hasta que se descargue e instale la actualización (sin ninguna advertencia al usuario). Esto podría llevar a una situación en la que el usuario que ejecuta la aplicación se vea obligado a salir de ella (potencialmente perdiendo trabajo) para cumplir con la actualización requerida.

Etiqueta de certificado

Cuando se usa con el servicio de integración de certificados de StoreFront™, esta etiqueta identifica el certificado específico requerido para esta aplicación. Si no se proporciona ninguna etiqueta, no se pone a disposición ningún certificado para su uso con una infraestructura de clave pública (PKI). El valor predeterminado está vacío (no se usa ningún certificado).

Lista de exclusión

Lista separada por comas de FQDN o sufijos DNS a los que se accederá directamente en lugar de a través de una conexión VPN. Esto solo se aplica al modo Tunelizado - SSO web cuando Citrix Gateway está configurado con el modo inverso de túnel dividido.

Bloquear conexiones a localhost

Si está Activado, las aplicaciones no tienen permitido realizar conexiones a localhost. Localhost es una dirección (como 127.0.0.1 o ::1) para comunicaciones que ocurren localmente en el dispositivo. Localhost omite el hardware de la interfaz de red local y accede a los servicios de red que se ejecutan en el host. Si está Desactivado, esta política anula la política de Acceso a la red, lo que significa que las aplicaciones pueden conectarse fuera del contenedor seguro si el dispositivo está ejecutando un servidor proxy localmente. El valor predeterminado es Desactivado.

Registros de aplicaciones

Salida de registro predeterminada

Determina qué medios de salida utilizan las funciones de registro de diagnóstico de la aplicación Citrix Endpoint Management de forma predeterminada. Las posibilidades son archivo, consola o ambos. El valor predeterminado es archivo.

Nivel de registro predeterminado

Controla la verbosidad predeterminada de la función de registro de diagnóstico de la aplicación de productividad móvil. Los números de nivel superior incluyen un registro más detallado.

  • 0 - Nada registrado
  • 1 - Errores críticos
  • 2 - Errores
  • 3 - Advertencias
  • 4 - Mensajes informativos
  • 5 - Mensajes informativos detallados
  • 6 a 15 - Niveles de depuración del 1 al 10

El valor predeterminado es el nivel 4 (Mensajes informativos).

Archivos de registro máximos

Limita el número de archivos de registro retenidos por la función de registro de diagnóstico de la aplicación de productividad móvil antes de la rotación. El mínimo es 2. El máximo es 8. El valor predeterminado es 2.

Tamaño máximo del archivo de registro

Limita el tamaño en megabytes (MB) de los archivos de registro retenidos por la función de registro de diagnóstico de la aplicación de productividad móvil antes de la rotación. El mínimo es 1 MB. El máximo es 5 MB. El valor predeterminado es 2 MB.

Geocerca de la aplicación

Longitud del punto central

Longitud (coordenada X) del punto central de la geocerca de punto/radio en la que la aplicación está restringida a operar. Cuando se opera fuera de la geocerca configurada, la aplicación permanece bloqueada. Debe expresarse en formato de grados con signo (DDD.dddd), por ejemplo, “-31.9635”. Las longitudes oeste deben ir precedidas de un signo menos. El valor predeterminado es 0.

Latitud del punto central

Latitud (coordenada Y) del punto central de la geocerca de punto/radio en la que la aplicación está restringida a operar. Cuando se opera fuera de la geocerca configurada, la aplicación permanece bloqueada.

Debe expresarse en formato de grados con signo (DDD.dddd), por ejemplo, “43.06581”. Las latitudes sur deben ir precedidas de un signo menos. El valor predeterminado es 0.

Radio

Radio de la geocerca en la que la aplicación está restringida a operar. Cuando se opera fuera de la geocerca configurada, la aplicación permanece bloqueada. Debe expresarse en metros. Cuando se establece en cero, la geocerca está deshabilitada. El valor predeterminado es 0 (deshabilitado).

Análisis

Detalle de Google Analytics

Citrix recopila datos analíticos para mejorar la calidad del producto. Al seleccionar Anónimo, optas por no incluir información identificable de la empresa.

Políticas MDX para aplicaciones de terceros para Android
May 18, 2026
Contribución de: 
C C
May 18, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.